Jump to content

kosta88

Members
  • Content Count

    459
  • Joined

  • Last visited

Everything posted by kosta88

  1. Siehe oben: Unser RZ sagt normaler Win10 Client, sonst nicht supportet. Funktioniert zwar, aber der Kunde kann sich selber troubleshooten... manche würden es eh machen, denke ich, aber dieser Kunde sicher nicht. Bevor ich mich in eine Lösung stürze, kann man irgendwie wissen was die Dinger kosten? Es steht nämlich nirgends... und Intune weiß ich auch nicht.
  2. Es geht darum was unser RZ als Gerät verschreibt, und nicht was wirklich funktioniert. Im Supportfall ganz wichtig.
  3. Ja, aber PXE Boot startet den Rechner nicht selber, oder? Notwendig ist es den Rechner entweder per UEFI Bios zu starten, oder eventuell WOL. PXE Boot lädt nur die Images vom Server zB. Daher verstehe ich noch immer nicht was du meinst... warum würde ich immer wieder neue Images laden? Das ist der ganze andere Aspekt den wir wohl betrachten, unabhängig davon was hier wegen Tools gefragt wird. Meine Fragen gingen ja in Richtung Management, aber intern besprechen wir alles was wir dort machen müssen und machen sowieso ein Konzept dazu. Derzeit ist dort alles möglichst einfach gehalten, und so gut wie keine Sicherheit (automatische Windows logons, gespeicherte Kennwörter in der Citrix-Anmeldemaske, keine Doku, kein Management, keine Zentralisierung, Admin-KW bekannt...). Technisch ist es keine Hexerei umzusetzen, aber den Kunden dorthin zu bringen, ist eine andere Sache. Und eben was mir fehlt ist die Sache wie man es technisch managt. Mit dem Thema MSP habe ich wirklich nicht viel zu tun. Und erst gestern über Sachen wie RMM gelesen.
  4. OK, aber soweit ich sehe kann man mit PDQ "nur" deployen, nicht WU ausführen (WU Updates suchen..), sodass die Clients den Rest machen - finde zumindest nichts dazu. Was geht ist die Patches per PDQ zu deployen, also quasi wie WSUS, nur werden sie zu den Clients gepusht, anstatt vom WSUS gezogen. Interessant wäre eher wie zB. im Windows Admin Center die Funktionalität Updates suchen und installieren. Und das zentralisiert sichbar (nicht wie im WAC, wo man in jede VM hingehen muss). Ich weiß nicht wieweit was möglich ist - die Clients suchen i.d.R. die Updates selber, aber manchmal halt nicht, aus welchen Grund auch immer. Wenn man dann auf Suchen geht, kommen ein von einmal die kumulativen Updates. Die Bedinung dass wir es machen eben ist dass die Clients aktuell gehalten werden, aber es reichen ja die automatischen Updates, die man dann eben überwachen soll. Teamviewer, ja kenne ich, bringt uns soweit nicht viel denke ich.
  5. Zum Thema PDQ: kann dieser auch nicht im Netzwerk laufen? Unsere Hosting-Lösung kann dafür nicht herangezogen werden. Sofern das eben für die einfachen Tasks reicht, wäre das erstmal genug. Ich habe es noch nicht herausen, ob man für PDQ ohne Domäne was extra konfigurieren muss... oder geht das eventuell über einem lokalen Admin Benutzer am Client. Ja, über Intune lese ich gerade. Die MDM Lösung wohl. Panda: das sind ca. €200 pro Monat. Grundsätzlich tragbar, wenn es wirklich automatisiert ist und man kann alles aus einer Konsole machen. Werde ich mal nachsehen, danke für den Tipp! Ja, über TC habe ich schon nachgedacht und nachgefragt bei uns im RZ: nicht supportet. Wäre schön gewesen.
  6. OK, nein, das passt schon. Ist schon hilfreich zu wissen dass man auf jeden Fall ein zentrales Management einbeziehen soll. Aktuell ist es dringend notwendig die aktuelle Umgebung zu aktualisieren. Es steht dem Kunden in ca. 4 Wochen eine Umstellung unserer Umgebung bevor, und dafür müssen alle Rechner up-to-date sein. Hier wird vermutlich darauf hinauslaufen, alles händisch zu machen.
  7. Tut mir leid, war nicht die Absicht. Grundsätzlich einfach: wie würdet ihr die Sache bei so einem Kunden angehen? Ist es zeitlich auf Workgroup-Basis machbar und überhaupt sinnvoll? Wenn zentrales Management empfohlen, welche Alternativen hat man zum Management-Server on-premise (Azure AD?)? Konzept steht mal so: Zwei Teile, erstmal die große Aktualisierung aller Rechner. Tlw. neue Rechner, tlw. nur Aktualisierungen (dem Kunden steht eine Umstellung der Citrix Umgebung an, und das muss vorher gemacht werden). Und dann etwas langfristig - und hier stehen wir an. Habe von Intune lediglich gehört, kenne ich aber nicht. Zu bedenken ist dass der Kunde lokal so gut wie nichts installiert hat. Die Clients müssen nur up-to-date bleiben, und unsere Zugangssoftware muss installiert (und up-to-date) sein. Das wäre schön wenn man deployen könnte und sicherstellen dass es überall aktuell ist (so mache ich es bei uns in der Domäne). Ich werde mich auf jeden Fall in das Thema einlesen -> Danke!
  8. Wir hatten heute bereits ein Meeting wegen Konzept. Und um den zu bearbeiten müssen wir erstmal uns ausdenken müssen, ob das für uns überhaupt machbar ist. Sowohl zeitlich wie auch finanziell. Die Frage ist hier zu Erfahrung dazu. Würde man überhaupt sowas angehen, ohne eine Domäne?
  9. Hallo, ohne viel Blahblah (kann ich gerne auf Anforderung tun), sagen wir mal ihr müsst 40 Rechner in einem Unternehmen ohne Domäne managen. Der Kunde arbeitet im RZ per Citrix, und verwendet die lokale Ebene kaum (braucht aber lt. meinen Infos lokal auch Internet, somit ist lokal A/V auch Pflicht). Die Windows-Konten ist auch überall gleich, sowohl der Einstiegsuser (ohne Passwort) wie auch der Admin (KW überall gleich, sehr einfach auch). Die einzige "Sicherheit" sind die userspezifischen Anmeldungen über Citrix, wo tlw. auch die Passwörter im Browser gespeichert werden... grausam. Ein Konzept für das Unternehmen entsteht bereits, was ich suche sind die Tools die ich für diesen Zweck einsetzen kann, speziell für die Inventarisierung und Verwaltung. Es soll möglichst viel automatisiert laufen. Weiterhin ist auch die Überlegung die Verwaltung ggf. via Azure AD zu machen. Der Kunde hat zumindest eine sehr stabile Internet Anbindung. Was wir nicht machen können, ist dort einen Server für AD aufstellen - das geht alleine aus dem Grund, weil er der Kunde ins RZ gezogen ist um keine lokale Server-Umgebung haben zu müssen. Abgesehen davon dass man dann noch Absicherungen wie USV und Backup braucht... Meine Gedanken gehen in der Richtung PDQ-Tools und/oder WAC. Ein Konzept wie und wann die Updates gemacht werden, entsteht noch, aber es sollte für uns so wenig Arbeit wie möglich bedeuten (Automatisierung) und für Kunden so viel Transparenz wie möglich. Wie würdet ihr das lösen/angehen? Danke
  10. Ich habe die benutzerdefinierte Installation gemacht, nachdem ich bisschen erkundigt habe, was die Sachen tun... UPN ist (bei Testusern in einer Unter-OU, die gesynct wurde) als vorname.nachname@office.company.com. Nun ist es zuerst falsch gelaufen, es wurde ein neuer Benutzer in AAD erstellt. Der Grund dafür war, dass der Testuser in O365 Admin war. Den neuen Benutzer gelöscht, heruntergestuft, und nochmal gesynct. Damit hat's dann funktioniert. Im AAD steht auch gesynct aus AD. Aber ich habe jetzt ein weiteres Problem. Alles das habe ich gemacht um Seamless SSO zu haben. Es ist mein Verständnis, dass jede App, bzw. Seite, die die Login-Maske von MS aufruft (das weiße Popup-Fenster mit Microsoft Logindaten), eigentlich sich automatisch einloggen sollte. Ich habe nach Vorgabe die GP-Einträge, die Benutzer bekommen die GPO, im IE sieht man auch die Einträge, AAD zeigt auch dass SSO aktiv ist, Pass-Through ist aktiv, Pass-Hash ist inaktiv... und es popt auf, und es tut sich nix. Ideen, wie troubleshoote ich das weiter?
  11. Hallo, ich bin soeben dabei mich bei Azure AD Connect zu informieren, und möchte grundsätzlich bei uns wegen SSO bei Office 365 implementieren. Unsere interne Domäne (AD) ist internal.company.com, und unsere Office 365 Domäne ist office.company.com. Der einfachste Weg soweit ich gesehen habe, ist den UPN Suffix (office.company.com) in AD einzutragen. Ich möchte die Umstellung vorerst mit einem Test-Benutzer probieren, daher habe ich den UPN des Benutzer auf office.company.com umgestellt, und bin dabei Azure AD Connect zu installieren. Ich lese bei MS dass nur die gleichen UPNs gesynct werden, und non-routable mit onmicrosoft-Benutzern (gibts eh keine bei uns). Aber sicherheitshalber die Frage... Kann die Installation von Azure AD Connect bei den normalen Benutzern die noch nicht auf UPN Suffix office.company.com umgestellt wurden Probleme verursachen? Danke
  12. Hallo, beim DFS kann man ABE einschalten, was eigentlich bedeuten soll dass der Benutzer die Ordner, auf die er keinen Zugriff hat, auch keine Ansicht bekommt. Und mann zwei Einstellungen treffen: vererbte Berechtigungen benutzen oder explizite Berechtigungen setzen. Wenn ich die expliziten Berechtigungen setzen, verschwinden gewisse Orden bei Benutzern. Wenn ich aber die vererbte Berechtigungen setze, dann funktioniert es nicht. Die Berechtigungen auf der Freigabe sind in Ordnung. Wenn ich mittels UNC Pfad prüfe, hat der Benutzer keinen Zugriff auf gewisse Ordner. Kann mir jemand sagen was los ist, wo der Fehler eventuell liegen könnte? Danke
  13. Wollte nur Feedback geben, dass ich keine Lösung dazu gefunden habe. Letztendlich habe ich folgendes gemacht: Server-Restore, im WPP alles exportiert, dann alles in WPP gelöscht, Update auf 2019 gemacht, und dann wieder alles importiert. Seitdem ist alles wieder genau wie es sein soll.
  14. Hallo, hat jemand Idee warum ich beim WPP doppelte Einträge habe, die sich nicht entfernen lassen? Ein Beispiel siehe Screenshot: Ich kann zwar den (0) Eintrag löschen, aber dann entsteht das: Ich kann "Delete Me!" dann löschen, der obere (0) Eintrag verschwindet nicht. Ideen? Danke.
  15. Keine Ideen, oder habe ich was vergessen?
  16. Hallo, immer wieder Probleme mit WSUS und Windows Update... Also mein erstes Problem ist dass die Mitarbeiter nicht mehr die große blaue Benachrichtigung über bevorstehenden Neustart bekommen - ich sehe es nur auf unseren Servern, dass Updates vorhanden sind. Aber die Clients zeigen es nicht. Idee was das ist? Das sind die Einstellungen: Zum Thema WSUS: Dieser zeigt dass Updates für die Clients noch offen (needed) sind, jedoch im Report steht nichts drinnen. Darüber hinaus, wenn ich dann im WSUS den Rechner entferne, am Client die WU-Bereinigung durchführe, und nochmals nach Updates suche, erscheint der Rechner im WSUS als grün. S05 ist der WSUS, C24 einer der Win10 Clients. So sieht es dann aus: Idee? Danke
  17. Danke, das war's genau! Und weiß man eigentlich warum diese Meldung ("Could not reconnect all network drives") aufkommt? Ich habe nämlich damit ein gravierendes Problem, und zwar erkennt unsere Software anstatt das Laufwerk (wie es sein soll) den UNC-Pfad (soll nicht sein), wenn die Software gestartet wird, OHNE vorher auf das Laufwerk zu klicken. Update: Gelöst. Alle GPOs für Laufwerke, hatte 4, in eine GPO konsolidiert, dann alle mittels Zielgruppenadressierung richtig adressiert, Update, Reconnect abgehakt, auf Benutzer-Kontext umgestellt (Haken auf der 2. Seite), und letztendlich als oberste Priorität ein Delete-All Laufwerk erstellt. Jetzt ist alles grün, keine Meldungen mehr!
  18. Hallo, hab hier einen Server 2019 mit zwei Freigaben, und mittels GPO als Laufwerk zugewiesen. Nach einiger Zeit, ich kann nicht sagen wie lange genau, aber vielleicht Stunde oder paar Stunden, ist das Laufwerk über UNC-Pfad weiterhin ansprechbar, aber über dem zugewiesenen Laufwerk nicht mehr. Ich bekomme einfach die Meldung LW:\ ist nicht verfügbar. Versuche ich es zu trennen, steht dass es nicht existiert. Abmelden und wieder anmelden, und das Problem ist weg. Vielleicht relevant, ich bin auch von dem Bug betroffen, wo ich ständig die Meldung "Could not reconnect all network drives" (jedoch wenn sie mal angeklickt werden, erscheinen sind als in Ordnung und verbunden). Gibt's da was bekanntes? Danke
  19. Hallo, ja, der normale RDP Client. Habe aber auch Remote Desktop Manager, hier kann ich auch auswählen welche RDP-Version. Habe sowohl mit 8.1 und 7.1 probiert (und auch mstsc.exe was bei Win10 dabei ist). Aber: ich kann mir das ganze erst wieder Mitte November ansehen, bis dorthin ist Ruhe
  20. Ja, das ist auch so - wenn ich dort mir das Zertifikat ansehen, es ist das RDS-Zertifikat.
  21. So ne K... Ich habe heute meinen Rechner heute neu aufgesetzt, werden morgen dann weiter suchen... wobei ich selber nicht mehr weiß wo ich suchen soll... Btw. Zertifikat funktioniert auch. Bei der TLS1.0 Verbindung (davon gehe ich aus, wenn es ohne TLS1.0 nicht funktioniert), wird der Zertifikat (Schloss) angezeigt. Zertifikat ist ein SHA256 RSA4096 SAN Zertifikat.
  22. Sobald ich TLS1.0 am Server aktiviere (und neustarte), geht es. TLS1.2 ist (wurde) nie deaktiviert.
  23. Touché. Best Practice Einstellung beinhaltet TLS1.0, 1.1 und 1.2, alle Hashes und alle Key Exchanges. In meiner Einstellung habe ich nur TLS 1.0 entfernt. Nach dem PDF habe ich dann weiterhin TLS 1.1 und Hashes MD5 und SHA, sowie Key Exchange Diffie-Hellman entfernt (so wie nach Vorhabe, sowohl am Client wie am Server).
  24. Ja, schon. Ich habe paar Haken dann noch zusätzlich lt. Anleitung entfernt, aber das hat auch nichts gebracht. Vielleicht für die Diskussion ausschlaggebend: ich habe eine Gruppenrichtlinie die RDP freischaltet, und diese hat zwei zusätzliche Einstellungen: Unter Remote Desktop Services / Remote Desktop Session Host / Security: Security Layer: SSL NLA forciert Ich denke aber nicht, dass das in irgendeiner Weise stört, denn SSL ist ja lt. Beschreibung TLS1.0, und MS oben beschreibt das als TLS1.2... Ich habe zwar versucht schon die Einstellungen zurückzusetzen, bringt aber nix (wie eigentlich erwartet...).
×
×
  • Create New...